ISGroup Consultoría de Ciberseguridad

Grave vulnerabilidad RCE en Array Networks AG/vxAG (CVE-2023-28461) explotada activamente

La Agencia de Ciberseguridad y de Infraestructura de Estados Unidos (CISA) ha emitido una alerta sobre la explotación activa de una vulnerabilidad crítica de ejecución remota de código (RCE), CVE-2023-28461, en los productos Access Gateway (AG) y Virtual Secure Access Gateway (vxAG) de Array Networks. Según los informes, más de 440.000 hosts expuestos a Internet a nivel mundial podrían ser vulnerables a ataques, lo que subraya el impacto generalizado del problema. Se han observado actividades de explotación dirigidas a agencias gubernamentales y organizaciones del sector de tecnologías avanzadas.

ProductoArray Networks
Fecha2024-11-28 10:11:20
Información
  • Parche disponible
  • Explotación activa

Resumen técnico

CVE-2023-28461 es una vulnerabilidad crítica con una puntuación CVSS de 9.8 que permite a los atacantes eludir la autenticación y ejecutar código arbitrario o explorar el sistema de archivos de la puerta de enlace SSL VPN manipulando el atributo flags en las cabeceras HTTP.

Productos afectados:

  • Productos Array Networks AG/vxAG con sistema ArrayOS AG versión 9.x.

Campañas de ataque:

  • La vulnerabilidad ha sido explotada por Earth Kasha (vinculado al grupo APT10), junto con otros fallos como CVE-2023-45727 y CVE-2023-27997, atacando a organizaciones en Japón, Taiwán e India. Los atacantes utilizaron la vulnerabilidad para instalar puertas traseras (backdoors) como Cobalt Strike, LodeInfo y NoopDoor con el fin de mantener la persistencia y moverse lateralmente en las redes comprometidas.

Disponibilidad del parche:

  • Array Networks lanzó un parche en la versión ArrayOS AG 9.4.0.484, anunciado en marzo de 2023.

Recomendaciones

  1. Aplicación inmediata del parche:

    • Actualizar a ArrayOS AG versión 9.4.0.484 o superior a través del portal de soporte de Array Networks.
    • Las agencias federales deben cumplir con la Directiva Operativa Vinculante (BOD) 22-01 de la CISA y aplicar el parche antes del 16 de diciembre.

  2. Fortalecimiento de la red:

    • Limitar el acceso a las puertas de enlace SSL VPN solo a direcciones IP y redes de confianza.
    • Utilizar firewalls o VPN para reducir la exposición.
    • Monitorear los registros (logs) en busca de actividades sospechosas, como accesos o intentos de ejecución no autorizados.

  3. Detección avanzada de amenazas:

    • Buscar indicadores de compromiso (IoC) como la presencia de Cobalt Strike, LodeInfo o NoopDoor.
    • Utilizar herramientas EDR (Endpoint Detection and Response) para identificar actividades sospechosas asociadas a amenazas APT.

[Callforaction-THREAT-Footer]

In